ManageEngine ADAudit Plus 통합에 대한 개요
Sophos Central에 ManageEngine ADAudit Plus를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.
이 페이지에서는 통합에 대한 개요를 제공합니다.
제품 개요
Manage Engine의 ADAudit Plus는 실시간 모니터링, 사용자 및 엔터티 동작 분석, 변경 사항 감사를 제공하는 포괄적인 Active Directory (AD)감사 솔루션입니다. 이는 AD 개체, 사용자 로그온 활동 및 그룹 정책 설정의 변경 사항에 대한 자세한 보고서를 제공하여 규정 준수, 보안을 보장하고 포렌식 준비 상태를 유지합니다.
Sophos 문서
수집되는 것
소포스가 본 샘플 경보에는 다음이 포함됩니다:
- 관리자 사용자의 로그온 실패
- 그룹 멤버십 변경
- 권한 상승 - 권한을 처음으로 사용
- 폴더 권한 변경
- 사용자가 생성되었습니다
- 비밀번호 만료 사용
- 비정상 활동 - 사용자 관리 활동
- 삭제된 사용자
- 최근에 감지된 리플레이 공격 보고서가 DOMAIN 도메인에 대해 확인되었습니다.
- 특별 그룹이 새 로그온에 할당되었습니다. 도메인 DOMAIN에 대한 보고서가 확인되었습니다.
- 인증서 요청 상태
- 도메인 DOMAIN의 도메인 값을 업데이트하지 못했습니다. 도메인이 이미 존재합니다. 관리자 권한으로 확인해주십시오.
- Power BI 그룹 멤버십 수정됨
- 서버를 수정하는 중 문제 발생, 오류 : 서버 업데이트 중 오류 발생, 컴퓨터 변경:
- 알림 프로필을 성공적으로 업데이트했습니다. 알림 프로필 이름: 수정된 관리자 그룹
- 도메인 DOMAIN에 대한 시스템 종료 보고서가 확인되었습니다.
- 호스트에서의 로그인 시간이 비정상적임
필터링
경고는 다음과 같이 필터링됩니다.
- CEF 유효성 허용
- 다양한 검토 및 비보안 관련 메시지 및 로그를 삭제하세요.
샘플 위협 매핑
{"alertType": "LAPS Password read - DOMAIN report was viewed for the domain DOMAIN", "threatId": "TA0006", "threatName": "Credential Access"}
{"alertType": "Successfully scheduled the event collection from selected computer(s) Domain : DOMAIN", "threatId": "T1070", "threatName": "Indicator Removal on Host"}
{"alertType": "Domain DOMAIN deletion process started", "threatId": "TA0040", "threatName": "Impact"}